Cybercrime: fraudeurs op het internet die geld aftroggelen van personen en bedrijven. In 1981 werd de eerste persoon ervan beschuldigd. Elke dag vinden er cyberaanvallen plaats. In deze blog lees je over wat cybercrime inhoud, welke vormen gevaarlijk zijn voor bedrijven en vooral over hoe jij dit kan herkennen en voorkomen.
Wat is cybercrime?
Er zijn een hoop vormen van cybercrime, denk aan phishing, hacking en identiteitsdiefstal. Het gaat hierbij om criminaliteit die online plaatsvind. Cybercrime criminelen zijn uit op toegang tot computersystemen en gevoelige informatie, maar vooral op geld. Fraude dus. Het komt er vaak op neer dat iemand zich voordoet als iets of iemand anders en daarmee mensen erin luist.
Phishing
Phishing is een vorm van oplichting waarbij criminelen het internet gebruiken om persoonlijke informatie van derden in hun bezit te krijgen. Denk aan het versturen van e-mails die personen naar een valse website lokt waarmee persoonlijke gegevens zoals pincodes en wachtwoorden worden gestolen.
Phishing mails/berichten zijn op een aantal manieren te herkennen:
- De afzender van de mail is bekend, maar het is iemand met wie je geen contact hebt. Als de mail niks te maken heeft met herkenbare werktaken, is het vaak geen zuivere koffie. Als de naam van de afzender bekend is, maar de e-mail ziet er toch onbetrouwbaar uit, check dan het e-mailadres van de afzender.
- Er is sprake van urgentie. Er moet ‘nu’ of binnen zoveel uur/dagen gehandeld worden.
- Het bericht bevat onverwachte of ongewone bijlagen. Deze kunnen malware of ransomware bevatten. Vaak wordt gebruikgemaakt van bijlagen, linkjes of koppelingen in de tekst. Door te klikken op zo’n link zet de crimineel je computer op slot waardoor ze toegang krijgen tot jouw bestanden. Deze zullen niet worden vrijgegeven totdat je losgeld betaalt. De politie adviseert nooit te betalen bij een dergelijke aanval. Het is beter om gelijk aangifte te doen.
- Neppe mails of websites bevatten regelmatig taalfouten, onscherpe logo’s of afbeeldingen. Als deze er minder professioneel uit ziet dan je verwacht, dan zou deze vals kunnen zijn.
- Phishing wordt ook via whatsapp gedaan. Als je twijfelt of het een betrouwbaar bericht is, kijk dan naar de profielfoto–nummer combinatie. Als de profielfoto bekend is en klopt, maar het nummer niet, dan is het bijna altijd phishing.
Spoofing
Het voordoen als iemand anders bij telefonische-, e-mail- of sms-fraude heet ‘spoofing’. De oplichter is niet wie hij zegt dat hij is, maar verzend wel mailtjes met een juist e-mailadres, belt wel met een kloppend nummer of stuurt wel originele links door.
CEO-fraude is een vorm van spoofing. De oplichter doet zich voor als de Chief Executieve Officer en benadert met name medewerkers die verantwoordelijk zijn voor de financiën. Hen wordt gevraagd om een betaling te doen. Door middel van openbare gegevens (o.a. op sociale media) krijgt de oplichter toegang tot mailadressen van medewerkers en op deze manier wordt er contact gemaakt.
Er zijn een aantal manieren om e-mail spoofing te herkennen en voorkomen:
- SPF (Sender Policy Framework) is eenvoudig te installeren software waarmee je het risico op spoofing verkleint. Met deze software regel je welke e-mailservers namens jouw domein kunnen verzenden. Met een domein wordt alles wat achter de “@” komt bedoeld, zoals …@youvia.nl. Als er een mail wordt gestuurd vanaf een server die niet is goedgekeurd door het SPF, dan wordt deze tegengehouden.
- De tweede manier om spoofing te voorkomen is via de e-mailtest. Hiermee test je de betrouwbaarheid van de meest gangbare e-mailbeveiligingsstandaarden zoals het SPF.
- Vertrouw niet altijd op de spamfilter. Dit soort fraudeberichten worden namelijk niet altijd tegengehouden.
- Houd rekening met het feit dat persoonlijke gegevens die openbaar staan (op o.a. sociale media), misbruikt kunnen worden.
- Werk met het ‘vier ogen principe’. Hiermee wordt bedoeld dat belangrijke acties zoals het uitvoeren van een betaling altijd door minimaal twee medewerkers gecontroleerd moeten worden.
Acquisitiefraude en spookfacturen
Acquisitiefraude houdt in dat je wordt benaderd door een vals bedrijf voor bijvoorbeeld het plaatsen van advertenties in tijdschriften, websites of bedrijfsgidsen. Met deze advertenties wordt uiteindelijk niks gedaan. De fraudeur aast puur op een akkoord voor een nieuw contract.
Spookfacturen zijn facturen voor nooit geleverde goederen of diensten. De oplichter stuurt deze uit in de hoop dat ze in de waan van de dag worden meegenomen in de administratie. Het gaat vaak over kleine bedragen (€10 tot €250).
Hoe herken je acquisitiefraude en spookfacturen?
- Als er telefonisch contact wordt gezocht, dan gebeurt dat meestal op het drukste moment van de dag. Vaak wordt er van je gevraagd om snel te beslissen.
- De fraudeur geeft aan dat er al sprake is van een zakelijke relatie en dat je alleen wat bedrijfsgegevens moet controleren op een fax of e-mail die door de fraudeur is verstuurd.
- Spookfacturen zijn bijna nooit aan een specifiek persoon gericht. Meestal wordt er een algemene aanhef gebruikt.
Wat te doen om te voorkomen dat je erin wordt geluisd?
- Onderteken en retourneer nooit zonder na te denken een e-mail of fax. Controleer of hier opdracht voor is gegeven.
- Let op waarvoor je tekent. Ook de kleine letters zijn goed om te controleren, net als vanaf welk e-mailadres de factuur is verstuurd.
- Let op bij mondelingen toezeggingen. Probeer niet zonder schriftelijke bevestiging te tekenen.
Conclusie
Er is dus best veel om rekening mee te houden als het aankomt op onze online veiligheid. Het belangrijkste is dat medewerkers alert zijn op deze manieren van fraude en dat de domeinen die worden gebruikt veilig zijn en gecontroleerd worden.
Raadpleeg een collega bij ongebruikelijke mailtjes, berichten of telefoontjes. Het is voor een bedrijf noodzakelijk om online criminaliteit serieus te nemen.